php+mysql手工注入基本过程

这里我们最主要的是看mysql版本，当mysql版本>5.0时我们只需要访问information_schema库即可查询数据库的相关概要信息，而对于<5.0的版本则需要爆破，今天我们测试的环境是mysql 5.5.40，对于小于5.0的mysql不建议手工测试，可以使用slqmap等注入工具辅助，成功率在于字典的大小。我们先了解一下mysql中的information_schema库。information_schema数据库是MySQL自带的，它提供了访问数据库元数据的方式。什么是元数据呢？元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。在MySQL中，把 information_schema 看作是一个数据库，确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等。
插楼删帖！！！！！！

测试代码
<?php
include('./connect.php'); //connect.php 数据库连接信息
$id=$_GET['id'];
$select_sql="SELECT * FROM article WHERE id=$id";
echo "测试语句：".$select_sql."<br/>";
mysql_query('set names utf8');
$select_sql_result=mysql_query($select_sql);
echo "Mysql Error:".mysql_error();
$date=mysql_fetch_assoc($select_sql_result);
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title><?php echo $date['title']."啦啦啦啦啦啦"?></title>
</head>
<body>
<h1><?php echo $date['title'] ?></h1><br />
作者：<?php echo $date['author'] ?><br/>
时间：<?php echo date("Y-m-d H:i:s",$date['dateline'])?><br />
概述: <?php echo $date['description']; ?><br />
正文: <?php echo $date['content'] ?>
</body>
</html>

广.告时间：
小白一只最近也是在学基础知识相关的总结发在了 ixuehua.blog.163.com
欢迎搞.基

¬_¬搞基

不明觉历

扫二维码下载贴吧客户端

下载贴吧APP
看高清直播、视频！

4回复贴，共1页

<<返回渗透吧

分享到:

日	一	二	三	四	五	六